Correction TD05 Sécurité des réseaux

informatiques

Exercice 1 :
1. Qu'est-ce qu'une politique de sécurité et pourquoi est-elle importante pour les
entreprises ?
Une politique de sécurité est un ensemble de règles, procédures et pratiques mises en
place pour protéger les actifs informationnels d'une entreprise contre les menaces
internes et externes. Elle est importante car elle aide à prévenir les pertes de données,
les violations de la vie privée, les atteintes à la réputation et les interruptions d'activité,
ce qui peut avoir un impact financier et juridique significatif sur une entreprise.
2. En quoi consiste la cryptographie et pourquoi est-elle importante en sécurité des
réseaux informatiques ?
La cryptographie est l'étude des techniques permettant de sécuriser et protéger les
communications et les données en les rendant incompréhensibles à toute personne non
autorisée. Elle est importante en sécurité des réseaux informatiques car elle permet de
garantir la confidentialité, l'intégrité et l'authenticité des informations échangées sur un
réseau, ce qui aide à prévenir les interceptions et les manipulations de données par des
attaquants.
3. Qu'est-ce que la cybercriminalité ? qui vise-t-elle en premier ?
La cybercriminalité désigne toute activité criminelle qui utilise des ordinateurs ou des
réseaux informatiques comme outils, cibles ou moyens de perpétration. Elle vise
principalement les entreprises, les organisations gouvernementales, les institutions
financières, les infrastructures critiques et les utilisateurs individuels, dans le but de
voler des données, commettre des fraudes, extorquer de l'argent, perturber les opérations
ou nuire à la réputation
4. Quelles sont les solutions les plus utilisées dans les entreprises pour contrer la
cybercriminalité ?
Les solutions les plus utilisées dans les entreprises pour contrer la cybercriminalité
comprennent les pare-feu, les antivirus, les logiciels de détection des intrusions, les
systèmes de prévention des intrusions, les solutions de cryptage, les programmes de
sensibilisation à la sécurité, les audits de sécurité et les politiques de sécurité strictes.
5. Quelle est la différence entre un pare-feu matériel et un pare-feu logiciel ?
Un pare-feu matériel est un dispositif autonome dédié à la protection d'un réseau
informatique en filtrant le trafic entrant et sortant en fonction de règles prédéfinies. Un
pare-feu logiciel est un programme installé sur un ordinateur ou un serveur qui effectue
la même fonction, mais au niveau logiciel. La principale différence réside dans leur
implantation et leur niveau de contrôle sur le trafic réseau.
 6. Donner les cinq services de sécurité avec une définition de chaque service
Service de sécurité Définition
Confidentialité Garantit que les informations ne sont accessibles qu'aux personnes autorisées
et protège contre l'interception de données par des tiers non autorisés.
Intégrité Assure que les données ne sont pas altérées de manière non autorisée et
protège contre toute modification non autorisée des informations.
Disponibilité Garantit que les informations sont accessibles lorsque nécessaire et protège
contre les interruptions de service intentionnelles ou non intentionnelles.
Authentification Vérifie l'identité des utilisateurs ou des entités et garantit qu'ils sont bien
ceux qu'ils prétendent être, protégeant ainsi contre l'usurpation d'identité.
Contrôle d'accès Gère les droits d'accès aux ressources informatiques et garantit que seules
les personnes autorisées peuvent accéder à certaines informations ou
fonctionnalités.

7. Donnez pour chaque service de sécurité un type d'attaque qui lui correspond
Service de sécurité Type d'attaque correspondant
Confidentialité Interception de données
Intégrité Altération de données
Disponibilité Attaque par déni de service (DoS)
Authentification Usurpation d'identité (phishing)
Contrôle d'accès Accès non autorisé

8. Donnez les moyennes pour réaliser les services de sécurité suivant :

a. Contrôle d'accès
 Utilisation de mots de passe.
 Cartes d'identité.
 Biométrie.
 Filtrage du réseau (par @mac ou @IP, par nom de domaine)
b. L'authentification
 Mots de passe
 Jetons d'authentification
 Biométrie.
9. Citez et expliquez les différents types d'attaques que vous connaissez
 Les attaques passives :
Elles ne modifient pas l'information et porte essentiellement sur la
confidentialité.
 Les attaques actives :
Elles modifient le contenu de l'Information ou le comportement des systèmes
de traitement.
 10. Faites un tableau ou vous représenter les attaques, les méthodes, les exemples réels.
Attaques Méthodes Exemples
Passive  Consultation d'information  L’homme du milieu passif
 Analyse du réseau  Scan réseau
 Détection des défaillances  Flooding passif
Active  Interception de paquets dans le  Botnet
réseau  DDOS actif
 Usurpation d'identité (Identity  L’homme du milieu actif
Spoofing)
 Forçage d'accès (Brute Force)

Exercice 2
1. Que signifie DDOS.
DDOS signifie Distributed Denial of Service, en français, "attaque par déni de service
distribué".
2. Expliquer de façon précise ce type d'attaque.
C'est une attaque qui a pour but de saturer un serveur afin de le rendre moins performant
pour les autres utilisateurs.
3. Quels sont les protocoles mis en jeux.
Selon le type de DDoS les protocoles suivants peuvent être mis en jeu : TCP, HTTP,
DNS, ARP,...
4. Pourquoi faire une attaque DDoS ?
Du point de vue de l'attaquant, cette attaque a pour but de rendre Indisponible ou
incompétent un service d'un réseau et du point de la sécurité cet attaques permet de tester le
comportement du réseau face à ce type d'attaque.
5. Quel logiciel pour des attaques DDoS ?
Il en existe plusieurs mais le plus utilisé : hping3
6. Quelle est la différence entre DoS et DDOS ?
DoS est un deny de service lancé depuis un seul poste attaquant, tandis que DDoS est un
deny de service lancé depuis plusieurs postes attaquants.
7. Enumérer quelques différences entre les attaques DoS, MITM et les attaques DDoS
Pour lancer une attaque de type MITM II faut être dans le même réseau que les machines
cible, contrairement aux attaques DoS et DDoS qui n'ont pas cette contrainte.
8. Un groupe de brigands indépendant nomes << black hands » disposent des adresses
suivantes : 192.168.200.200, 192.168.200.2, 192.168.200.30. Ils décident de réaliser
attaque d'inondation sur un serveur d'une université dont ils connaissent l'adresse.
a. De quel type d'attaque s'agit-il ? Pourquoi ?
Il s'agit d'une attaque DDoS, car on veut saturer de requêtes un serveur depuis
plusieurs postes attaquants.
b. Décrire de façon brève le scenario de l'attaque.
Depuis chacun des postes, on envole des hping3 de types (TCP, ICMP, ARP,...)
vers le serveur cible dont ils connaissent l'adresse IP.
 c. Comment sait-on qu'il s'agit d'une attaque d’inondation ?
Sur la machine cible, il faut analyser la performance réseau (Ethernet ou WIFI), si le
taux est trop élevé, cela veut dire que le serveur traite un grand nombre de requêtes
(TCP, ICMP, ARP, ...) ce qui sature ce dernier.
d. Proposez un script shell, qui aurait pu être à l'origine de cette attaque : les «black
hands » ne préciseront l'adresse du serveur que lors de l'attaque (à l'appel du
script).
Script utiliser par les black hands, dans ce script l'adresse du serveur est supposée
être toujours correcte.
#!/bin/sh
hping3-1--flood $1
e. Expliquer les différentes méthodes d'attaques DoS que vous connaissez.
Le ping flood attack, qui est une saturation d'un serveur par des requêtes ICMP.
Le TCP flood attack, qui consiste à saturer le serveur par des requêtes SYN.

Exercice 3
1. Expliquez ce qu'est une attaque MITM et en quoi TLS permet de s'en protéger.
Une attaque MIM est une attaque d'usurpation d'identité, qui permet de surveiller mais
aussi d'esplonner le Traffic réseau, a des fins de sécurité ou de contrefaçon.
Avec TLS, les données qui transitent dans le réseau sont cryptes et donc non accessible par
l'esplon s'il ne peut pas trouver la clé adéquate.
2. Qu'est-ce que le fichier hosts?
Le fichier hosts est un fichier utilises par le système d'exploitation pour mapper des
noms d'hôtes a des adresses IP.
3. Où se trouve le fichier hosts ?
Sous Windows, Il se trouve sous C:\windows\hosts Sous linux, Il se trouve sous
/etc/hosts
4. Comment fonctionne le fichier hosts ?
Chaque fois qu'une machine communique avec une autre, il y'a échange des données de
reconnaissance (adresse IP + adresse MAC) ses données la sont stockes dans le fichier hosts.
5. Citez les protocoles qui peuvent intervenir dans cette attaque et expliquez leurs
interventions.
 ICMP: car l'attaquant émet des requêtées dans le réseau vers la cible pour
pouvoir lui faire croire que c'est son destinataire.
 ARP : car l'attaque permet de modifier les données du cache ARP
6. Quels principes de sécurité du cloud sont viole par cette attaque ?
Cette attaque viole le principe de confidentialité et l'intégrité des données.
7. En pratique, nous avons parlé des types d'attaques MITM, il vous est demander pour
chaque attaque ci-dessous de la décrire en mettant en évidence les protocoles
intervenant.
a. ARP poisoning:
Il s'agit d'une attaque d'usurpation d'identité par modification du cache ARP de
la machine cible.
b. ICMP redirect:
 Il s'agit d'une attaque d'usurpation d'identité par détournement de paquets dans
un réseau.
 c. NDP poisoning:
Il s'agit d'une attaque d'usurpation d'identité par émission de message broadcast
usurpant le NDP de la cible
d. Port stealing:
Il s'agit d'une prise d'accès sur une machine cible.
e. DHCP spoofing :
Il s'agit ici d'usurper l'identité d'un serveur DHCP afin de pouvoir avoir la main
mise sur la distribution d'adresse dans un réseau.
8. Donnez avec description deux méthodes de protection contre les attaques MITM.
Le cryptage des données avec TLS (sur le web le Traffic HTTPS est crypte
contrairement au Traffic HTPP).
L'utilisation des outils d'analyse réseau ou des scripts.

Exercice 4
1. Quelle méthode d'authentification stocke les noms d'utilisateur et les mots de passe
dans le routeur et est idéale pour les petits réseaux ?
AAA local
2. Quel est le résultat d'une attaque par épuisement de ressources DHCP ?
Les clients légitimes ne peuvent pas louer d'adresses IP.
3. 3. Quelle composant du modèle AAA permet à un administrateur d’effectuer le suivi
des personnes qui accèdent aux ressource réseau, ainsi que des modifications qui sont
apportées à ces ressources.
Traçabilité
4. Quels sont les deux protocoles utilisés par AAA pour authentifier les utilisateurs par
rapport à une base de données centrale de noms d’utilisateur et de mot de passe ?
TACACS+
 RADIUS
5. Un technicien se prépare & installer et à configurer un réseau sans fil dans une petite
filiale. Quelle est la première mesure de sécurité qu'il doit appliquer juste après avoir
allumé le routeur ?
Changer le nom d'utilisateur et le mot de passe par défaut du routeur sans fil.
6. Un administrateur réseau configure une connexion au serveur RADIUS sur un
Wireless Controller (WLC). La configuration nécessite un mot de passe secret partagé.
Quel est le but du mot de passe secret partagé ?
Il est utilisé pour chiffrer les messages entre le WLC et le serveur RADIUS.
7. Pourquoi les réseaux sociaux présentent-ils un risque d'attaque par ingénierie sociale ?
Les réseaux sociaux encouragent généralement les gens à partager des informations
personnelles ainsi que leurs Intérêts et leurs habitudes. (Nom complet, date de naissance
(DDN) ville de résidence, etc...).
8. Donner pour chaque affirmation le VPN qui correspond mieux à son type:
a. Configuration VPN dynamique utilisée pour la connexion au réseau
 Accès à distance
b. Configuration VPN statique utilisée pour la connexion au réseau
 Site à site
c. Type de VPN utilisé pour la plupart des télétravailleurs et des utilisateurs mobiles.
  Accès à distance
d. Connecte entre eux les réseaux de filiales
 Site à site
e. Prise en charge un serveur VPN pour une entrée du client à la périphérie du réseau
 Accès à distance

Exercice 5
On se basant sur la topologie et la table d'adressage suivantes :
1. Configurer une ACL nommée standard qui autorise uniquement la machine dont
l'adresse est 192.168.20.4 d'accéder au serveur de fichier et qui refuse tout autre trafic
R1 (config)# ip access-list standard FTP_filter
R1(config-std-nac1)# permit host 192.168.20.4
R1 (config-std-nac1)# deny any
2. Appliquer correctement l'ACL de la question précédente
R1 (config)#interface E0/0/1
R1 (config-if)# ip access-group FTP filter out
3. Configurer une ACL nommée standard qui autorise uniquement les hôtes du réseau
192.168.20.0/24 d'accéder au serveur web et qui refuse tout autre trafic.
R1 (config-if)# ip access-group FTP filter out
R1(config-std- nacl)# permit 192.168.20.0 0.0.0.255
R1(config-std- nacl)# deny any
4. Appliquer correctement l'ACL de la question précédent
R1(cenfig)#interface E0/0/0
R1 (config-if)# ip acceas-group Web filter out

Exercice 6
On se basant sur la topologie et la table d'adressage suivantes:
1. Configurer et appliquer une ACL étendue numérotée qui autorise les utilisateurs du réseau
172.22.34.64/27 d'accéder au service FTP sur le serveur et qui autorise également le trafic
ICMP entre ce réseau et le serveur.
R1(config)#access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ftp
R1(config)# access-list 100 permit icmp 172.22.34.64 0.0.0.31 host 172.22.34.62
R1(config)#interface gigabitEthernet 0/0
R1(config-if)#ip access-group 100 in

2. Configurer et appliquer une ACL étendue nommée qui autorise le réseau 172.22.34.96/28
d'accéder au service Web sur le serveur et qui autorise également le trafic ICMP entre ce
réseau et le serveur.
R1(config)#ip access-list extended WEB_ONLY
R1(config-ext- nacl)#permit tcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eq www
R1(config-ext- nacl)#permit icmp 172.22.34.96 0.0.0.15 host 172.22.34.62
R1(config-ext- nacl)#exit
R1(config)#interface gigabitEthernet 0/1
R1(config-if)#ip access-group WEB_ONLY in